Chứng nhận ISO 27018

Tiêu chuẩn bảo vệ dữ liệu cho dịch vụ đám mây

ISO/IEC 27018 bao gồm các mục tiêu và nguyên tắc kiểm soát được chấp nhận rộng rãi để bảo vệ dữ liệu cá nhân (PII - Personally Identifiable Information) trong điện toán đám mây. Về nội dung, tiêu chuẩn được xây dựng dựa trên các tiêu chuẩn bảo mật hiện có - cụ thể là ISO/IEC 27002

Tiêu chuẩn quốc tế áp dụng cho mọi loại hình và quy mô tổ chức, bao gồm cả công ty và tư nhân, cơ quan chính phủ và tổ chức phi lợi nhuận cung cấp dịch vụ xử lý thông tin dưới dạng bộ xử lý PII thông qua điện toán đám mây thay mặt cho các tổ chức khác. Các hướng dẫn trong tài liệu này cũng có thể phù hợp với các tổ chức đóng vai trò là người kiểm soát PII. Tuy nhiên, bộ điều khiển PII có thể phải tuân theo các luật, quy định và nghĩa vụ bảo vệ PII bổ sung không áp dụng cho bộ xử lý PII. Tài liệu này không nhằm mục đích bao gồm các nghĩa vụ bổ sung như vậy.

ISO/IEC 27018:2020 có thể áp dụng cho mọi loại hình và quy mô tổ chức, bao gồm các công ty tư nhân và nhà nước, cơ quan chính phủ và tổ chức phi lợi nhuận cung cấp dịch vụ xử lý thông tin qua điện toán đám mây theo nghĩa bộ xử lý PII.

Xem thêm

Hiện ít hơn

Thông tin về tiêu chuẩn ISO 27018

Các yêu cầu của ISO 27018 dành riêng cho việc bảo vệ thông tin nhận dạng cá nhân (PII). Chúng phù hợp với các khuyến nghị triển khai từ Hướng dẫn kiểm soát bảo mật thông tin ISO 27002:2013 và do đó hoàn toàn phù hợp với hệ thống quản lý bảo mật thông tin ISO 27001:2013. Cả hai tiêu chuẩn đã được sửa đổi vào năm 2022, có tác động đặc biệt đến nội dung và cấu trúc của các điều khiển Phụ lục A. Tuy nhiên, ISO/IEC 27018 tiếp tục đề cập đến các phiên bản 2013 của tiêu chuẩn.

ISO/IEC 27018 quy định cụ thể các yêu cầu bảo vệ dữ liệu dành cho nhà cung cấp dịch vụ đám mây, đồng thời xây dựng các cơ chế giám sát và hướng dẫn triển khai các biện pháp kiểm soát nhằm đảm bảo bảo vệ dữ liệu cá nhân trong môi trường đám mây. Khi làm như vậy, tiêu chuẩn sẽ tính đến các yêu cầu bảo vệ dữ liệu đã tồn tại trong các lĩnh vực khác và điều chỉnh chúng một cách cụ thể cho các rủi ro bảo mật thông tin trong lĩnh vực điện toán đám mây.

Tiêu chuẩn hiện tại được xuất bản vào tháng 8 năm 2020 bởi G

ISO/IEC 27018:2019 Công nghệ thông tin — Kỹ thuật bảo mật — Quy tắc thực hành để bảo vệ thông tin nhận dạng cá nhân (PII) trong các đám mây công cộng đóng vai trò là bộ xử lý PII có sẵn trên trang Website ISO

Tiêu chuẩn này tuân theo ISO/IEC 27017 (Kiểm soát bảo mật thông tin cho dịch vụ đám mây), bao gồm các khía cạnh bảo mật thông tin khác của điện toán đám mây ngoài quyền riêng tư dữ liệu.

Xem thêm

Hiện ít hơn

Ưu điểm của tiêu chuẩn ISO 27018 được chứng nhận quốc tế là gì?

Trên thực tế, việc sử dụng các quy trình bảo mật được công nhận là tiêu chí quyết định để lựa chọn nhà cung cấp đám mây. Điều này áp dụng cho tất cả các quyền kiểm soát của khách hàng trong bối cảnh xử lý dữ liệu được ủy thác theo luật pháp quốc gia, chẳng hạn như Mục 11 (2) Số. 7 của luật bảo vệ dữ liệu liên bang của Đức. Với việc giới thiệu ISO 27018, các nhà cung cấp dịch vụ đám mây có cơ hội điều chỉnh hệ thống quản lý của họ một cách cụ thể theo các yêu cầu bảo vệ dữ liệu này và đánh giá nó.

Ai được phép chứng nhận theo ISO 27018?

Để chứng nhận hệ thống quản lý bảo mật thông tin, tổ chức chứng nhận tương ứng phải được công nhận theo tiêu chuẩn ISO/IEC 17021 và ISO/IEC 27006. DQS được công nhận bởi tổ chức công nhận của Đức DAkkS (Deutsche AKrobrationsstelle GmbH) và do đó được phép thực hiện đánh giá và chứng nhận theo cả ISO/IEC 27001 và ISO/IEC 27018.

Quy trình đánh giá chứng nhận ISO 27018 như thế nào?

Công ty của bạn sẽ được chứng nhận trên cơ sở tiêu chuẩn quốc tế ISO/IEC 27001 cho hệ thống quản lý an ninh thông tin được triển khai theo ISO/IEC 27018:2019. Khi tất cả các yêu cầu tiêu chuẩn đã được thực hiện, bạn có thể chứng nhận hệ thống quản lý của mình. Bạn sẽ trải qua quá trình chứng nhận nhiều giai đoạn tại DQS.

Trong bước đầu tiên, bạn sẽ thảo luận về công ty của mình, bảo mật thông tin hiện tại của bạn và các mục tiêu của chứng nhận ISO 27018. Dựa trên những cuộc thảo luận này, bạn sẽ nhận được một báo giá phù hợp với nhu cầu của công ty bạn.

Đặc biệt đối với các dự án chứng nhận lớn hơn, cuộc họp lập kế hoạch là cơ hội quý giá để tìm hiểu đánh giá viên của bạn cũng như phát triển chương trình đánh giá riêng cho tất cả các khu vực và địa điểm liên quan. Đánh giá trước cũng tạo cơ hội để xác định trước tiềm năng cải tiến cũng như điểm mạnh của hệ thống quản lý của bạn. Cả hai dịch vụ đều là tùy chọn.Đặc biệt đối với các dự án chứng nhận lớn hơn, cuộc họp lập kế hoạch là cơ hội quý giá để tìm hiểu đánh giá viên của bạn cũng như phát triển chương trình đánh giá riêng cho tất cả các khu vực và địa điểm liên quan. Đánh giá trước cũng tạo cơ hội để xác định trước tiềm năng cải tiến cũng như điểm mạnh của hệ thống quản lý của bạn. Cả hai dịch vụ đều là tùy chọn.

Đánh giá chứng nhận bắt đầu bằng phân tích hệ thống (giai đoạn đánh giá 1) và đánh giá tài liệu, mục tiêu, kết quả đánh giá quản lý của bạn, đánh giá phạm vi và đánh giá nội bộ. Trong quá trình này, chúng tôi xác định xem hệ thống quản lý của bạn đã được phát triển đầy đủ và sẵn sàng để chứng nhận hay chưa.

Trong bước tiếp theo (giai đoạn 2), chuyên gia đánh giá DQS của bạn đánh giá hiệu quả của tất cả các quy trình quản lý tại chỗ để xác định xem bạn có đáp ứng tất cả các yêu cầu của tiêu chuẩn hay không. Một chuyên gia pháp lý được bổ sung vào nhóm đánh giá để đánh giá tính hiệu quả của hệ thống quản lý liên quan đến luật bảo mật dữ liệu hiện hành. Các kết quả được trình bày tại cuộc họp bế mạc và nếu cần, các kế hoạch cho các biện pháp cụ thể sẽ được thống nhất.

Sau đợt đánh giá chứng nhận, kết quả được đánh giá bởi hội đồng chứng nhận độc lập của DQS. Bạn sẽ nhận được báo cáo đánh giá ghi lại kết quả đánh giá. Nếu tất cả các yêu cầu tiêu chuẩn được đáp ứng, bạn sẽ nhận được chứng nhận phù hợp tương ứng. Hiệu lực của nó được liên kết với hiệu lực của chứng chỉ ISO 27001 cơ bản.

Để đảm bảo rằng công ty của bạn tiếp tục đáp ứng tất cả các yêu cầu quan trọng sau cuộc đánh giá, chúng tôi tiến hành đánh giá giám sát hàng năm. Điều này cung cấp hỗ trợ có thẩm quyền để cải tiến liên tục hệ thống quản lý bảo mật thông tin và quy trình kinh doanh của bạn.

Chứng chỉ ISO/IEC 27018 có hiệu lực tối đa là ba năm. Việc tái chứng nhận được thực hiện kịp thời trước khi hết hạn để đảm bảo tuân thủ liên tục các yêu cầu tiêu chuẩn hiện hành của danh mục bảo mật CNTT. Sau khi tuân thủ, một giấy chứng nhận phù hợp mới được cấp.

Chi phí chứng nhận ISO 27018 là bao nhiêu?

Vì mỗi công ty có các điều kiện tiên quyết và yêu cầu riêng khác nhau đối với một hệ thống quản lý, nên chi phí cho việc đánh giá và chứng nhận ISO 27018 dựa trên ISO 27001 không thể tính gộp một lần. Chúng tôi sẽ sẵn lòng cung cấp cho bạn một báo giá phù hợp trên đánh giá khách quan và các yêu cầu của bạn.

Tại sao bạn nên lựa chọn DQS?

Hơn 35 năm kinh nghiệm trong việc chứng nhận các hệ thống và quy trình quản lý
Đánh giá viên và chuyên gia giàu kinh nghiệm với trình độ chuyên môn và kiến thức chuyên môn cao
Thông tin chi tiết giá trị gia tăng vào công ty của bạn
Chứng chỉ được quốc tế công nhận
Chuyên môn và công nhận cho tất cả các tiêu chuẩn có liên quan
Hỗ trợ cá nhân, nhiệt tình từ các chuyên gia của chúng tôi - trong khu vực, quốc gia và quốc tế
Ưu đãi cá nhân với thời gian hợp đồng linh hoạt, công khai và minh bạch các điều khoản thỏa thuận

Chọn quốc gia hoặc ngôn ngữ của bạn